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Введение. Качество производственных процессов во многом 
зависит от инфраструктуры управления — в частности, от 
эффективности информационной системы (ИС). Менеджмент 
компаний уделяет все большее внимание обеспечению без- 
опасности этой сферы, на ее поддержку регулярно направля- 
ются финансовые, материальные и другие ресурсы. В пред- 
ставленной работе рассмотрены вопросы построения 
комплекса защиты информационной системы предприятия. 
Материалы и методы. Охрана ИС предприятия учитывает 
особенности объекта защиты и актуальные угрозы информа- 
ционной безопасности. В рамках данного исследования при- 
нято, что ИС представляет собой комплекс информационных 
ресурсов. По результатам специального анализа определены 
категории угроз информационной безопасности предприятия: 
взлом; утечка; искажение; утрата; блокирование; злоупотреб- 
ление. Выявлена связь данных угроз, компонентов ИС и эле- 
ментов комплекса защиты. Рассмотрены требования норма- 
тивно-правовых актов Российской Федерации И 
международных стандартов, регулирующих данную сферу. 
Показано, каким образом результаты данного анализа позво- 
ляют обосновать выбор элементов комплекса защиты ИС. 
Результаты исследования. Сравнительный анализ регламен- 
тирующей литературы, относящейся к данному вопросу, поз- 
волил выявить следующее. Разные документы предлагают 
разный набор элементов (подсистем) комплекса защиты ИС 
предприятия. Разрабатывая программу защиты ИС, следует 
руководствоваться Приказом ФСТЭК № 239 и стандартом 
800-82 Веу1510п 2 Се ю ГС$ Зесигйу. 

Обсуждение и заключения. Результаты представленного ис- 
следования являются основой для формирования программно- 
го комплекса интеллектуальной поддержки принятия решений 
при проектировании системы защиты информации на пред- 
приятии. В частности, можно разрабатывать гибкие комплек- 
сы, позволяющие расширять состав элементов (подсистем). 
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Введение. Информационные системы (ИС) все активнее используются в производственных и управленче- 
ских процессах. В связи с этим обостряется проблема информационной безопасности (ИБ) ИС. В частности, недо- 
статочная изолированность ИС упрощает несанкционированный доступ к ним [1, 2, 3]. Последствиями вредонос- 
ного воздействия на ИС могут быть простои производства, финансовые потери, а при реализации худшего 
сценария — даже техногенные катастрофы [4]. Таким образом, актуальной задачей является формирование ком- 
плекса защиты промышленных ИС, эффективно препятствующего злоумышленным действиям. 

Материалы и методы. Создание комплекса защиты информации основывается на результатах предпро- 
ектного обследования, в ходе которого определяются состав объекта защиты и актуальные для него угрозы. 

Объект защиты представляется как множество информационных ресурсов: 

ОБесЕ. ‚ = {МЕ,СС, 15,55, И/5, РЕ, О$,55, 45 „1Р,5и, КМ, 5М 14}. 

Здесь МЕ — множество сетевого оборудования; СС — множество каналов связи; /5 — множество инфраструк- 
турных серверов; 545 — множество систем хранения данных; И — множество рабочих станций пользователей; 
РЕ — множество периферийного оборудования; 05 — множество операционных систем; 55 — множество си- 
стемного программного обеспечения (ПО); 45 — множество прикладного ПО; /Р — множество информацион- 
ных процессов, протекающих в ИС предприятия; $и — подсети; Ю5М — множество съемных носителей инфор- 
мации; °М — электронные носители информации; [А — информационные активы. 

Множество актуальных угроз ИБ Тйгеа! определяется [5]: 

Тигесй = {Вгеаюте, Геак, Олюгпоп, [.055, Вост, АБизе}. 


Здесь Вгеате — угрозы взлома; Геак — угрозы утечки информации; Гу5ют’йо" — угрозы искажения; [055 — 
угрозы утраты; ВюсЯпие — угрозы блокирования информационных ресурсов ИС предприятия; АБизе — угрозы 


злоупотреблений. 
Комплекс, противодействующий данным угрозам, представляет собой систему защиты ИС предприятия 
(СЗИС) (рис. 1). 
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Рис. 1. Взаимосвязь объектов защиты и угроз в схеме СЗИС 





Система защиты информации 5Р/ (5ует оф ргыесйоп ор тюгтайоп) — двухуровневая и включает подси- 
стемы (компоненты) [6]: 
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— множество подсистемы (5и65узет)защиты информации; 
— множество средств защиты (МР, теап5 офргоесноп) информации. 
В общем виде структура СЗИС представлена на рис. 2. 
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Рис. 2. Обобщенная структура СЗИС предприятия 
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При определении компонентов комплекса защиты информации специалисты исходят из анализа имею- 
щейся нормативно-правовой документации и стандартов, действующих на предприятии. Необходимо также учи- 
тывать международный опыт. Довольно широко в мировой и отечественной практике применяется стандарт 800-82 
Веу1з1оп 2 Сливе 1ю шдизла! Сопго| Зузетаз (1С$) Зесигцу [1]. Он разработан Национальным институтом стандар- 
тов и технологий США. В нем, в частности содержатся рекомендации по повышению безопасности в системах 
промышленного контроля, включая системы диспетчерского управления и сбора данных. Показано, каким угрозам 
подвергаются организационные процессы и бизнес-функции, описаны типичные уязвимости. Особое внимание 
уделяется мерам безопасности и контрдействиям, которые следует предпринять в угрожающей ситуации. 

Результаты исследования. Отечественные нормативно-правовые акты (НПА), регламентирующие вопро- 
сы защиты ИС предприятия, условно можно разделить на две категории [6]: 

— НПА по обеспечению информационной безопасности автоматизированных систем управления технологическим 
процессом (АСУ ТП); 
— НПА по защите критической информационной инфраструктуры (КИИ). 

Следует особо отметить, что уязвимости в защите КИИ могут повлечь значительный материальный и эко- 
логический ущерб. Недостаточная охрана КИИ чревата социальными и военно-политическими проблемами. 

Проектирование системы защиты информации (в частности, при создании модели интеллектуальной под- 
держки принятия решений) предполагает предварительное проведение сравнительного анализа профильных нор- 
мативно-правовых актов Российской Федерации. Следует рассмотреть, например, следующие документы: 

— Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 14 марта 2014 г. 
№ 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управле- 
ния производственными и технологическими процессами на критически важных объектах, потенциально опасных 
объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружа- 
ющей природной среды» [7]; 

— Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности 
значимых объектов информационной инфраструктуры Российской Федерации» (проект) [8]; 

— международный стандарт 800-82 Веу1з1оп 2 Оли4е ю шиза! Сопго] Зузетв (1С$) Зесигиу [9]. 


Сравнительный анализ Приказов ФСТЭК России № 31 и № 239 представлен в табл. 1. 
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Таблица 1 
Элементы (подсистемы) комплекса защиты ИС предприятия в Приказах ФСТЭК России № 31 и № 239 





Подсистемы СЗИС 


Приказ ФСТЭК от 14.03.14 № 31 Приказ ФСТЭК от 25.12 2017 г. № 239 








Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) 





Управление доступом субъектов доступа и объектов доступа (УПД) 





Ограничение программной среды (ОПС) 





Защита машинных носителей информации (ЗНИ) 











Регистрация событий безопасности (РСБ) Аудит безопасности (АУД) 
Антивирусная защита (АВЗ) 
Обнаружение вторжений (ОВ) Предотвращение вторжений (ПВ) 





Контроль (анализ) защищенности информации (АНЗ) |Защита информационной (автоматизированной) 
системы и ее компонентов (ЗИС) 








Обеспечение целостности (ОЦЛ) 





Обеспечение доступности (ОДТ) 





Планирование мероприятий по обеспечению защиты информации (ПЛН) 





Защита технических средств и систем (ЗТС) 





Обеспечение безопасности разработки программного | Реагирование на инциденты информационной без- 
обеспечения (ОБР) опасности (ИНЦ) 








Защита среды виртуализации (ЗСВ) Информирование и обучение персонала (ИПО) 





Управление обновлениями программного обеспечения (ОПО) 





Обеспечение действий в нештатных ситуациях (ДНС) 





Анализ угроз безопасности информации и рисков от| — 
их реализации (УБИ) 











Управление конфигурацией автоматизированной системы управления и ее системы защиты (УКФ) 








Примечание. Для большей наглядности отличия не только разнесены по разным ячейкам, но и выделены серым 
фоном. 





Итак, Приказ ФСТЭК № 239 предусматривает наличие в комплексе защиты ИС предприятия следующих 


подсистем: 

— аудит безопасности (АУД); 

— защита информационной (автоматизированной) системы и ее компонентов (3ЗИС); 
— реагирование на инциденты информационной безопасности (ИНЦ); 

— информирование и обучение персонала (ИПО). 


Следует отметить, что решение о комплектности СЗИС до известной степени зависит от финансовых во3з- 


можностей предприятия. Однако если стоимость защищаемых ресурсов и потенциальный ущерб от злоумышлен- 
ных действий выше, чем стоимость СЗИС, то целесообразно внедрить АУД и ЗИС. 


Сравнительный анализ Приказа ФСТЭК от 25 декабря 2017 г. № 239 и стандарта 800-82 Веу1з1оп 2 Сшае ю 


паизела| Сопёго| Зузепа$ (1С$) Зесигиу приведен в табл. 2. 


Таблица 2 


Элементы (подсистемы) комплекса защиты ИС предприятия в Приказе ФСТЭК от 25 декабря 2017 г. № 239 и 


стандарте 800-82 Веу151оп 2 Слмае ю шаиза! Сопёго] Зууетз (1С$) ЗесигИу) 








Подсистемы СЗИС 


Приказ ФСТЭК от 25.12 2017 г. № 239 800-82 Кеу1510п 2 Сливе ю 1С$ Зесигиу 
Идентификация и аутентификация (ИАФ) 
[епийЯсайоп ап аяфеписайоп 











Управление доступом (УПД) 
Зузет ап4 соттишсайоп$ рто{есйоп, 
ЗесигИу аззеззтеп{ ап4 аиогханоп 
Ограничение программной среды (ОПС) Зузеш ап4 шоппайоп ищеэтйу 











Защита машинных носителей информации (ЗНИ) 
Мела ргоесНоп 





Аудит безопасности (АУД) 
Ачат$ ап ассоита Пиу 











Антивирусная защита (АВЗ) Зузет ап шогтпайоп пиезтйу 











Витенбург Е. А. и др. Выбор элементов комплекса защиты информационной системы предприятия на основе требований 


Гйепвиге Е. А. ап4 ше ойег$. З@есйииз зареу расказе сотропеп5 ор ешегрие трогтайоп зуяет рюПоилиз гедшгетет$ 








Я а Приказ ФСТЭК от 25.12 2017 г. № 239 800-82 Веу1510оп 2 Слшае ю ГС$ Зесигиу 
Предотвращение вторжений (компьютерных атак) | Зузет ап4 шРоплайоп пиеэтиу 

(СОВ) 
Защита информационной (автоматизированной) | Зузет ап4 шРоплайоп ищеэтиу 
системы и ее компонентов (ЗИС) 














Обеспечение целостности (ОЦЛ) Зузет ап шогтайоп пиезтйу 





Обеспечение доступности (ОДТ) 
бузет апа зегу!сез асаи1иоп 





Планирование мероприятий по обеспечению безопасности (ПЛН) 
Р!аппипе, сопипзепсу р!аппте 





Защита технических средств и систем (ЗТС) 
Маиепапсе 





Реагирование на инциденты информационной безопасности (ИНЦ) 
шсеи гезропзе 





Информирование и обучение персонала (ИПО) 
Регзоппе! зесигИу 





Управление обновлениями программного обеспе- | Огоашхайоп — Ул4е шЮппайоп зесигйу ргоэтат 
чения (ОПО) тапазетепе сопёго]5 








Обеспечение действий в нештатных ситуациях (ДНС) 
РрБузса| ап епупоптеша! ргоесйоп 
Ау’агепезз ап4 тайпте 





Управление конфигурацией (УКФ) 
Сопйгигайоп тапазетег{ 





Ев В15К аззеззтепе 











— Зузет ап4 сотилишсайоп$ ргобесНоп 








Примечание. Для большей наглядности отличия не только разнесены по разным ячейкам, но и выделены серым 
фоном. 








В данном случае наиболее очевидны следующие различия: 

— 800-82 Веутз1юп 2 Слиде ю 1С$ Зесигиу объединяет в подсистеме Зу%ет ап шЮюгтайоп пиеэтиу функционал 
подсистем ОПС, АВЗ, СОВ, ОЦЛ, ЗИС, определенных в Приказе ФСТЭК; 

— 800-82 Кеу1з1юп 2 Сшае ю 1С5 Зесигиу предусматривает наличие подсистемы защиты систем связи — Зузет 
ап соттишсайоп$ ргоесНоп; 

— Приказ ФСТЭК объединяет в подсистеме управления доступом (УПД) функционалы подсистем Зуу%ет апа 
соттишсайоп$ ргоесйоп и Зесигйу аззеззтеп! ап4 аафоптайоп; 

— Приказ ФСТЭК объединяет в подсистеме планирования мероприятий по обеспечению безопасности (ПЛН) 
функционал подсистем Р1аппше и Сопйпзепсу р1апппз; 

— Приказ ФСТЭК объединяет в подсистеме обеспечения действий в нештатных ситуациях (ДНС) функционал 
подсистем РКузтса| ап4 епупоптета! ргофесйоп и Ау’агепез$ ап4 гашпие. 

Следует особо указать на подсистемы оценки рисков и защиты систем связи [10]. Это наиболее важные 
элементы комплекса защиты ИС предприятия, из тех, которые не предусмотрены отечественной нормативно- 
правовой документацией. Их внедрение позволит усилить защиту, оперативно реагировать на инциденты, возни- 
кающие в ИС предприятия, своевременно и точно противодействовать атакам. 

Выводы. Результаты анализа элементов комплекса защиты ИС будут использованы для построения моде- 
ли интеллектуальной поддержки принятия решений при проектировании СЗИС. В частности, планируется преду- 
смотреть возможность расширения состава подсистем СЗИС. Выбор элементов такого комплекса будет зависеть от 
оценки рисков, размера потенциального ущерба от вредоносного воздействия, стоимости компонентов СЗИС. 
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